Wikileaks, épaulé par OWNI, vient de publier aujourd’hui même les Spy Files, une liste de 1100 documents relatifs aux sociétés qui surveillent Internet. La majorité de ces documents sont des documents parfaitement publics mais ce travail de compilation reste tout à fait exceptionnel car il offre un instantané de l’état de l’art de la surveillance globale des communications sur Internet. On y trouve les principaux intégrateurs, leurs solutions, le superbe contrat d’Amesys à la Libye portant sur un système EAGLE d’interception global et ayant servi à la répression des opposants. Vous apprendrez d’ailleurs très prochainement qu’Amesys était parfaitement au courant de l’utilisation faite de son matériel.</subliminal>

BlueCoat, une autre entreprise que nous suivons de près sur Reflets.info est également à l’honneur dans cette publication et Wikileaks vous invite à découvrir toute sa gamme.

Comme vous vous en doutez, les collègues de la team Reflets et votre serviteur allons revenir très prochainement sur cette publication et vous faire de nouvelles revelations sur les deals d’Amesys dans le « massive interception » et ce, dans des pays où vous n’auriez pas spécialement envie de passer vos vacances.

Je profite également de ce court billet pour vous annoncer que cette publication de Wikileaks donnera lieu à d’autres publication de notre part sur le sujet (c’est une évidence), mais que nous réfléchissons activement aux contre-mesures depuis un petit moment. Pour passer outre cette surveillance globale dont Amesys vendait si bien les mérites en 2008 à Prague, nous allons tout prochainement lancer une offre de VPN un peu particulière (COMSEC). Une offre concernera les entreprises et l’autre les particuliers. Ces deux offres DPI-Proof® bénéficieront du même niveau de sécurité en offrant un chiffrement de vos communications portant sur les couches 4 à 7 du modèle OSI et viseront explicitement à rendre sourd et aveugles ces systèmes d’interceptions massifs.

Possibly Related Posts:

• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• A TOR… ou à raison
• Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran
• Je vous présente le blog d’un nouveau copain

Un 0day ciblant  GameSpy, bien connu des joueurs en ligne de FPS (Quake 3, Halflife..)  serait exploité depuis plusieurs semaines. De gros hébergeurs servent donc actuellement un splendide botnet qui DDoS allègrement tout ce qui bouge. Le site l0g.me a publié aujourd’hui ce 0day. Mais la vraie question, c’est quid de la responsabilité des hébergeurs, qui informés de ces attaques, refusent de couper le service exploité… et donc, contribuent passivement à ces attaques.

OVH pour ne citer que lui serait au courant de la situation depuis plusieurs jours mais l’hébergeur se refuse de couper les serveurs de jeux compromis. Quand on connait la force de frappe découlant de ses capacités réseaux, on comprend vite qu’OVH doit relayer pas mal d’attaques bien violentes. Si l’hébergeur n’est pas responsable de la vulnérabilité, n’a t-il pas le devoir, une fois informé, de couper les services faillibles ?

La question de fond c’est surtout … « pourquoi l’éditeur n’a pas encore patché ? »

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• A TOR… ou à raison
• Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran
• Je vous présente le blog d’un nouveau copain

Le département de l’énergie américain vient de publier un petit guide comprenant 21 points pour améliorer la sécurité d’une infrastructure SCADA. Ce petit document (télécharger au format PDF – 3 Mo) énonce de grands principes de sécurité applicables pour tout déploiement d’un SCADA. La nature des systèmes SCADA (télémesure et télégestion), fait qu’on les retrouve au coeur de systèmes critiques. Vous comprendrez donc que ces principes sont parfaitement applicables par des entreprises non américaines. A ma connaissance, en dehors de certains travaux d’EADS (télécharger au format PDF – 444 Ko), on ne trouve pas de guides visant à la sécurisation de ces systèmes. Les menaces grandissantes, dont la plus visible, Stuxnet, a agité le monde de la cyber sécurité cette année, justifient que les gouvernement s’intéressent de près à la sécurité de ces systèmes. Comme ils contrôlent des infrastructures physiques, il y a un risque de destruction matérielle, et donc, un risque de pertes en vies humaines.

Ce petit guide est donc à placer entre les mains de nos entreprises. Ce sont certes des conseils de bon sens, mais il y a fort à parier qu’en France, nombre d’infrastructures critiques ne les respectent pas.

Department of Energy : Scada Security

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• A TOR… ou à raison
• Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran
• Je vous présente le blog d’un nouveau copain

Vous avez peut être vu passer le vent de panique qui souffle sur TOR depuis qu’Eric Filiol, directeur du laboratoire de recherche en cryptologie et virologie de l’ESIEA, a annoncé le fruit du travail de son équipe sur le réseau « onion routé », venant ébranler la confiance dans l’anonymisation offerte par TOR. Rappelons que dans certains pays, moins cléments que le notre concernant la liberté d’expression (si ça existe!), l’anonymat est la seule manière d’exprimer des points de vues politiques, culturels, religieux ou artistiques…

Que s’est il donc passé ? L’affaire est très bien expliquée sur le site ITEspresso.

Première surprise, Eric Filiol annonce 181 nodes cachés découverts grâce à un algo maison, cartographiant le réseau TOR sur une Google Map :

« Il existe des noeuds cachés non répertoriés dans le code source. Seule la fondation TOR connaît ces routeurs cachés. On a développé un algorithme compliqué pour les identifier. On en a écrit une librairie (181 TOR bridges découverts à ce jour). C’est une base non publique mais il est illusoire de penser que ce niveau de sécurité n’est pas accessible (…) Le code source sera mis à disposition mi-novembre. »

On apprend également que sur les plus de 9000 nodes, environ 1500, seraient vulnérables à des escalations de privilèges.

Le routage complexe de TOR a lui été semble t-il mis en défaut par les chercheurs, ce par le biais d’un virus agissant sur la mémoire et provocant des embouteillages sur certains noeuds. Ainsi il devient possible selon le chercheur d’orienter les flux sur des nodes… en somme, de la prédiction de routage…on sent bien ce qui va venir juste après.

« J’infecte une partie du réseau TOR, je peux contrôler les flux qui passent. »

Il devient par ce biais, sans avoir besoin de saturer le réseau, de créer des micro-congestions afin de faciliter le packet sniffing.

Mais il y a plus fâcheux : la couche de chiffrement, assurant la secret dans le transport des données, toujours selon Eric Filiol, ne serait pas au top :

« La cryptographie implantée dans TOR est mauvaise…On a réduit considérablement le degré de deux des trois couches de chiffrement. »

Le directeur de recherche du laboratoire indique également que la fondation n’a pas très bien réagi à l’annonce de ces travaux :

« La fondation a fait une demande de manière agressive pour me faire comprendre en évoquant la dimension de ‘responsible disclosure’. Mais tout ce qui m’importe, c’est de savoir si c’est légal ou pas » 

Et enfonce le clou :

« On ne peut pas imaginer que la fondation derrière TOR ne soit pas consciente de ses failles » 

Cette dernière accusation semble elle, plus grave et surtout moins objective car comme le souligne ITEspresso, elle sous-entend que la finalité du réseau TOR, qui a obtenu le soutien financier du gouvernement américain ne serait pas si limpide que cela. Et ça pour tout vous dire, je peine à y croire. Quoi qu’il en soit, en attendant la conférence qui se tiendra à la fin du mois à Sao Paulo au Brésil où l’équipe de chercheurs devrait dévoiler ses travaux, mon sentiment est que :

1° Eric Filiol n’est pas du genre à bluffer

2° Les vecteurs d’attaques expliqués sont tout à fait crédibles

3° Si la sécurité est une affaire de confiance, alors, le réseau TOR est aujourd’hui ébranlé.

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Monsieur Google Plus : VA TE FAIRE FOUTRE !
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• Back @ work

Stuxnet targets nuke

Je me doutais bien qu’on avait pas finit d’entendre parler de Stuxnet, ce vers informatique que les experts soupçonnaient depuis le début de viser la centrale nucléaire de Natanz en Iran (et peut-être également celle de Qom dont la confirmation de l’existence nous a été hier révélée par le Cablegate de Wikileaks). La sophistication de ce code, couplée au type d’équipements qu’il attaquait laissait peu de doute sur le fait qu’il ne s’agissait pas d’un petit bidouillage « pour la gloire ».

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• A TOR… ou à raison
• Je vous présente le blog d’un nouveau copain

Cher Gnuzer,
Tu as pris le temps de répondre, de manière argumentée, à certaines de mes positions. Je trouve ta démarche honorable, du coup, je vais te donner un petit coup de pouce en te répondant publiquement et surtout en te donnant la visibilité que mérite ta réponse. Je suis assez embêté de ne pouvoir linker l’article lui même mais ceci est du à la redirection de ton nom de domaine, un AName aurait été préférable. Là le pointage de ton nom de domaine n’observe pas la première des bonnes pratiques du web, à savoir une URL par contenu.
Je passe sur tes attaques personnelles, je ne m’abaisserai même pas à y répondre. Je vais me concentrer sur ton contre-argumentaire…

1° « Thèse : Le VPN, Çaylemal. »
Là tu as soit un problème de lecture, soit tu tombe dans le travers que tu me reproche dans le premier couplet de ta chanson.

2° « Ça, c’est le bruit de la claque que prend dans la tronche un cyberrésistant récemment converti au crypto-anarchisme comme moi »
Si tu as besoin de mettre en avant tes talents de crypto anarcho pour contourner HADOPI c’est que tu n’as pas compris grand chose :

• ni à la loi HADOPI
• ni à Internet

Tu te qualifies de cyber résistant ? En te cachant pour downloader un MP3 ? C’est où que tu résistes dans l’histoire là ?
Tu fais la bêtise de confondre clicodrome VPN et cryptoanarchisme, là on est carrément dans l’amalgame de noobs qui va pas tarder à nous dire qu’il est rentré dans la matrice pour échapper à HADOPI.

3° « le lectorat de Bluetouff’s blog n’est finalement pas aussi élitiste que peuvent le faire croire ses articles très pointus sur la sécurité informatique. »
Je n’ai pas la prétention de m’adresser  aux l33tz, d’ailleurs je doute qu’ils trouvent des choses intéressantes dans mon blog, mon action se situe plutôt au niveau de la sensibilisation, et à te lire, je vois que j’ai encore du travail.

4° « N’oublions pas qu’avec HADOPI et LOPPSI nous sommes tous des criminels… »
Tu te présente aux élections présidentielles ? Tu es déjà en campagne là ?

5° « Remarque : Bluetouff clarifie sa pensée dans sa réponse à Korben : selon Bluetouff, il ne faudrait pas se cacher pour exercer notre activité illégale »
Ok c’est donc que tu as bien tout compris de travers, selon moi cette activité ne devrait pas être illégale, et te cacher c’est comme bloquer un site web, ça s’appelle fermer les yeux, c’est une attitude de couille molle.

6° « Tout délinquant essaye d’échapper à la répression. Si désormais nous sommes tous des délinquants, il est naturel que nous essayions tous d’échapper à la répression. »
Tu te considère comme un délinquant ? Bravo, moi pas et j’essayais de me battre pour expliquer que tu n’en étais pas un… ton billet me refroidit pas mal…

7° « je donne d’avantage de chances de survie aux “planqués” qu’aux héros contestataires. »
A chacun son truc mais en dehors du fait qu’on a pas besoin d’être un héro pour dire qu’on est pas d’accord avec une loi débile, il va falloir que tu m’explique comment un planqué peut faire changer une loi injuste. Ce qui me fait dire que tu n’es pas du tout un cyber résistant, tu es juste une personne qui ne pense qu’à sa tronche et à pouvoir télécharger tranquilement… planquée. Ce qui compte ici c’est ta survie à toi, surement pas le respect des libertés d’autrui.

8° Je ne reviendrai pas une fois de plus sur les usages du VPN, mais la « panacée » c’est :

• un darknet privatif où on accorde confiance à chaque node
• l’utilisation de protocoles non standards multiplexés, bien évidemment chiffrés, end to end (on est loin du VPN à papa là)
• une connaissance juridique sur les points d’entrées et de sorties
• Le tout dans une VM avec un OS fait pour (au pif OpenBSD)
• Un serveur X over SSH
• Pas de plugin à la con dans le navigateur
• … et accessoirement allumer son cerveau pendant qu’on surf.

9° Sur la suite c’est amusant car tu as une bonne compréhension technique de la problématique, c’est donc bien sur la philosophie que nos avis divergent. Le hic c’est que j’ai du mal à percevoir ton contre argumentaire philosophique dans tout ça. Enfin il y a quand même une erreur technique « Ceux-ci sont renvoyés par le VPN et atteignent leur destination finale par le chemin le plus court. » Quand tu visite le site de la HADOPI derrière un VPN dont le noeud de sortie est à HongKong, j’ai le sentiment que tu dis une bêtise… je sais pas pourquoi…

10° « c’est en revanche parfaitement raisonnable dans un pays où le gouvernement a des tendances orwelliennes. »
Tu prêtes des facultés au gouvernement qu’il n’a pas, ce qu’il a mis en place jusque là atteste plus de son e-gnorance que de quelques volontés orweliennes. Le blocage des sites sur LOPPSI, c’est pas orwerlien, c’est de la lâcheté qui vise à dire « la pédopornographie n’existe pas ».

11° « Je vois ces sûrcoûts engendrés plus comme un effet collatéral du système répression + résistance. »
Encore une fois, tu ne résistes pas, tu te planques.

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• A TOR… ou à raison
• Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran

Hackito Ergo Sum 2011

Hackito Ergo Sum est le rendez-vous international que vous fixe le hackerspace /tmp/lab. L’édition 2011 se tiendra du 7 au 9 avril et reunira, on peut leur faire confiance, de nombreux talents pour offrir des interactions de haut niveau. L’appel à participation vient tout juste d’être lancé. Si vous avez des choses à partager, qu’il s’agisse de code ou de bidouille matérielle, cet événement est un incontournable : conférences de haut niveau, capture the flag, des rencontres qui s’adressent aussi bien aux bidouilleurs qu’aux institutionnels ou représentant d’organisation gouvernementale.

La HADOPI ne sera surement pas oubliée, quelque part entre le hacking d’Echelon et de SCADA, un set « Governmental firewall and their limits (Australia, French’s HADOPI, China, Iran, Denmark, Germany, …) » est prévu et je ne saurai trop recommander aux représentants de la HADOPI d’y participer pour comprendre que les limites ne sont pas que philosophiques et que les dangers sont bien réels.

HES 2011 c’est aussi et surtout l’espoir de voir un jour la France rattraper son retard historique sur les autres pays européens en matière de hacking. Faut il encore préciser que le hacking est une discipline noble, utile, favorisant l’innovation et la créativité, indiscociable de la recherche informatique ou de la recherche en général, et qui ‘na rien à voir avec le « piratage ».

A noter que HES2011 se cherche encore des sponsors, n’hésitez pas à les contacter si vous pensez que l’image de votre institution ou de votre entreprise peut trouver une cohérence à s’associer avec un évènement de ce type dont on sait par avance qu’il ne peut être qu’une réussite vu le sérieux reconnu du /tmp/lab pour l’organisation d’évènements (comme le Hacker Space Festival) et sa faculté à regrouper aisément des spécialistes très reconnus dans leur discipline.

HES 2011 : le call for paper

Finally, we would like to thank all the people that participated to last years edition : the conference is the people See you all in April !

--[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition's success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.

--[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that's what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.

--[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software   * Automating vulnerability discovery   * The business of the 0-day market   * Non-x86 exploitation   * New classes of software vulnerabilities and new methods to detect     software bugs (source or binary based)   * Static and Dynamic binary or source-based analysis   * Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP     and other current protection methods   * Kernel land exploits (new architectures or remote only)   * New advances in Attack frameworks and automation   * Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures   * Botnets and C&C abuses   * Exotic Network Attacks   * Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)   * Financial and Banking institutions   * SCADA and the industrial world, applied.   * Governmental firewall and their limits (Australia, French’s HADOPI,     China, Iran, Denmark, Germany, …)   * Law enforcement : how to / how to deceive / how to abuse.   * Satellites, Military, Intelligence data collection backbones     (« I hacked Echelon and I would like to share »)   * Non-IP (SNA, ISO, make us dream…)   * M2M   * Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware   * Hardware reverse engineering (and exploitation + backdooring)   * Femto-cell hacking (3G, LTE, …)   * BIOS and otherwise low-level exploitation vectors   * Real-world SMM usage! We know it’s vulnerable, now let’s do something   * WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.   * Gnu Radio hacking applied to new domains
[*] Attacking Crypto   * Practical crypto attacks from the hacker’s perspective     (RCE, algo modeling, bruteforce, FPGA …)   * Algorithm strength modeling and evaluation metrics   * Hashing functions pre-image attacks   * Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias* Biography* Presentation Title* Description* Needs: Internet? Others?* Company (name) or Independent?* Address* Phone* Email* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:* Tool* Slides* Whitepaper
[*] How to submit:
Submit your presentation and materials at:http://hackitoergosum.org/apply/

–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: hes2011-orga@lists.hackitoergosum.org

–[ Dates:
2010-11-15    Call for Paper2011-02-20    Submission Deadline2011-02-21    Acceptance notification2011-03-01    Program announcement2011-04-07    Start of conference2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:* Tavis Ormandy (Google) @taviso* Matthew Conover (Symantec) @symcmatt* Jason Martin (SDNA Consulting, Shakacon)* Stephen Ridley @s7ephen* Mark Dowd (AzimuthSecurity) @mdowd* Tiago Assumpcao* Alex Rice (Facebook) facebook.com/rice* Pedram Amini (ZDI) @pedramamini* Erik Cabetas* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi* Alexander Sotirov @alexsotirov* Barnaby Jack (IOActive) @barnaby_jack* Charlie Miller (SecurityEvaluators) @0xcharlie* David Litchfield (V3rity Software) @dlitchfield* Lurene Grenier (Harris) @pusscat* Alex Ionescu @aionescu* Nico Waisman (Immunity)  @nicowaisman* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine* Matthieu Suiche (MoonSols) @msuiche* Piotr Bania @piotrbania* Laurent Gaffié (Stratsec) @laurentgaffie* Julien Tinnes (Google)* Brad Spengler (aka spender) (Grsecurity)* Silvio Cesare (Deakin University) @silviocesare* Carlos Sarraute (Core security)* Cesar Cerrudo (Argeniss) @cesarcer* Daniel Hodson (aka mercy) (Ruxcon)* Nicolas Ruff (E.A.D.S) @newsoft* Julien Vanegue (Microsoft US) @jvanegue* Itzik Kotler (aka izik) (Security Art) @itzikkotler* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck* Ilja Van Sprundel (IOActive)* Raoul Chiesa (TSTF)* Dhillon Andrew Kannabhiran (HITB) @hackinthebox* Philip Petterson (aka Rebel)* The Grugq (COSEINC) @thegrugq* Emmanuel Gadaix (TSTF) @gadaix* Kugg (/tmp/lab)* Harald  Welte (gnumonks.org) @LaF0rge* Van Hauser (THC)* Fyodor Yarochkin (Armorize) @fygrave* Gamma (THC, Teso)* Pipacs (Linux Kernel Page Exec Protection)* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EURDiscount for Students below 26  (3 days)                         40 EURDiscount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUROne-day pass                                                     40 EURVolunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is madewith the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.

–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people See you all in April !

–[ Contact:

• hes2011-orga __AT__ lists.hackitoergosum.org
• Hackito Ergo Sum 2011 conference – http://hackitoergosum.org
• Hacker Space Festival – http://www.hackerspace.net

– [ Social Media:

Keep in touch with the HES Organization via Facebook, Twitter and Linkedin !

• « Hackito Ergo Sum » on Facebook  - http://www.facebook.com/pages/Hackito-Ergo-Sum/376978867704
• @HackitoErgoSum on Twitter ! – https://twitter.com/HackitoErgoSum
• HackitoErgoSum on Linkedin ! – http://www.linkedin.com/groups?gid=2861584

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• A TOR… ou à raison
• Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran

Vidéo Répression à Nice

Peut être m’avez vous déjà entendu mettre en garde sur d’éventuelles transpositions d’usages, par arrêtés municipaux ou décrets ministériels, de dispositifs intrusifs, à d’autres champs d’applications que l’Internet. On y arrive aujourd’hui, c’est encore en beta test, mais on sait qu’il y a de l’avenir là dedans, et ce 1er novembre est le jour d’inauguration d’un truc qui va faire super plaisir aux niçois. Quand il s’agit d’atteinte aux libertés, tout ce qui rentre par Internet, finit par sortir d’Internet.

Quand on parle d’écoutes généralisées avec le Deep Packet Inspection sur Internet que certains souhaiteraient voir utilisé à des fins de reconnaissance des contenus pour « dépolluer Internet de toute infraction au droit d’auteur », on parle bien de surveillance de masse. Christian Estrosi, très zélé maire de Nice quand il s’agit de sécurité, et accessoirement ministre de l’industrie et des fiinances, le ministère de tutelle du secrétariat d’État à l’économie numérique ou auteur du rapport de l’Etat sur la neutralité des réseaux pas orienté du tout par le discours d’Alcatel où d’Orange… a eu l’excellente idée d’offrir à ses agents municipaux, le réseau des caméras de la ville, pour constater, en vidéo des infraction et ainsi pour les verbaliser. Pour l’instant ce n’est pas automatisé, un policier municipal est derrière l’écran, il constate l’infraction et verbalise. Mais la prochaine étape, soyez en assurés, ce sera l’automatisation de l’infraction grâce à une technologie de reconnaissance de caractères pour lire les plaques d’immatriculation et de traitement vidéo… un HADOPI Like, on va refaire du tout neuf avec du tout vieux, c’est une règle en politique.

Ce sont à Nice 600 caméras qui sont à disposition des agents municipaux pour punir les infractions au code de la route ! On attend le décret qui accordera une réduction d’impôts locaux aux foyers qui placent une camera de « vidéo protection municipale » dans leur salon. Certaines municipalités devraient elles aussi être fort tentées de suivre l’exemple.

Évidemment, Christian Estrosi précise qu’il souhaite étendre ce genre d’utilisation du dispositif de « vidéo protection » à d’autre infractions.

L’histoire de France reconnaîtra donc en Christian Estrosi le génialissime inventeur de la « vidéo répression automatisée« , de la « vidéo répression» ou de la « vidéo verbalisation», une nouvelle discipline lucrative et pleine d’avenir… et dire qu’on voudrait leur reprocher de ne pas être « modernes ».

Ah il va faire un très bon ministre de l’Internet Christian Estrosi, en tout cas rien qu’à l’entrainement, il pète les scores ! Ça serait dommage de ne civiliser qu’Internet après tout.

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• Plus rien ne sera jamais comme avant
• A TOR… ou à raison

SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour « dépoluer » Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande « drop moi tous les paquets illégaux ? »…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme « illégal ». Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour « civiliser notre Internet« , des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

« SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected. »

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• Copwatch : le fiasco de Claude Guéant
• A TOR… ou à raison

SCADA

On a encore récemment parlé de SCADA à l’occasion de la propagation du ver Stuxnet qui visait des systèmes SCADA Siemens. Sa cible et ses auteurs présumés, comme son fonctionnement, ont été largement commentés et ceci est du à la nature des équipements sur lesquels les systèmes SCADA opèrent. L’une des 4 vulnérabilités inconnue jusqu’à Stuxnet, et qui affectait Windows, a tout juste été fixée. Stuxnet par son aspect ultra élaboré est soupçonné d’être l’oeuvre d’une agence gouvernementale dans le but de mettre à mal une centrale nucléaire iranienne. Nous n’aurons probablement jamais le fin mot de l’affaire mais ceci a peut être été l’occasion pour certains d’aller jeter un oeil sur la sécurité de ces systèmes dédiés au monitoring et à l’acquisition de données d’équipements industriels ou de génie civil, divers et variés.

Daté d’hier, un exploit révèle un buffer overflow dans les systèmes SCADA Realflex de DATAC Realwin.

Ce qui se passe aujourd’hui, en dehors du mystère Stuxnet, résulte de dizaines d’années de mauvaises pratiques sécuritaires chez quelques éditeurs et dans le secteur de l’informatique industrielle. La situation est toutefois assez inquiétante et tous les pays concernés devraient méditer un audit sans concession de ces infrastructures, ne serait-ce, que pour évaluer le risque, souvent amoindri au prétexte que ces équipements sont rarement interconnectés.

Si certains systèmes ne présentent que peu de risques, des systèmes dédiés à des sites bien identifiés comme à risque (ponts, tunnels, lignes de transport ferroviaire, installations nucléaires…) devraient faire l’objet d’attentions nouvelles.

Sans céder à la paranoia, il serait bienvenu, même au niveau français et c’est pas Ossama qui me contredira, de prendre la mesure exacte des risques de scénarios noirs sur ces systèmes et essayer de comprendre si nous y sommes préparés.

Possibly Related Posts:

• Wikileaks : les Spy Files sont en ligne
• Un 0day sur GameSpy
• 21 points pour améliorer la sécurité d’une infrastructure SCADA
• A TOR… ou à raison
• Le virus informatique Stuxnet aurait affecté le fonctionnement de centrifugeuses nucléaires en Iran